https://www.heise.de/imgs/18/2/8/3/5/2/3/3/urn-newsml-dpa-com-20090101-180226-99-253511_large_4_3-617f5d3b0f89444f.jpeg — (Bild: dpa, Lino Mirgeler)

Zweiter Faktor: Apple will SMS-Codes besser absichern

Apples WebKit-Team hat eine neue Technik für ein leichteres Einfügen von SMS-Codes beim Login auf Webseiten unterbreitet. Auch Google hat daran Interesse.

31 Jan 2020, 16:13 by Leo Becker

Die praktische iOS-Ausfüllautomatik für SMS-Einmalcodes soll sicherer werden – und könnte in Zukunft plattformübergreifend Verwendung finden. Apples WebKit-Team hat ein einheitliches Textformat für die SMS-Übermittlung der für eine Zwei-Faktor-Authentifizierung eingesetzten Codes vorgeschlagen und bittet um weiteres Feedback.

Dem Vorschlag zufolge sollen die Einmalcodes von Online-Services, die 2-Faktor-Schutz anbieten, in einheitlicher Weise als Textnachricht zugestellt werden – sowohl in einer von Menschen leicht lesbaren Form wie zusätzlich auch mit einem klar erkennbaren Zusatz, der den Code und den Sender respektive die zugehörige Webseite klar auszeichnet.

Einheitliches Format für Auslieferung von SMS-Codes

Da es derzeit keinen Standard für die Auslieferung der Codes per SMS gebe, müsse gemutmaßt werden, um eine Ausfüllautomatik anzubieten, erklärt das WebKit-Team. Diese heuristische Herangehensweise sei fehleranfällig und könne sogar gefährlich sein. Durch ein klares, einheitliches Textformat könnten sich Diensteanbieter sicher sein, dass der verschickte Code nur auf der richtigen Webseite eingefügt wird, heißt es weiter.

Apples Browser Safari bietet eine solche Automatik auf iPhones, iPads und Macs bereits an: Wer sich auf einer Webseite oder in einer App bei einem Dienst anmeldet, der per 2-Faktor-Authentifizierung geschützt ist und den Einmal-Code per SMS zustellt, dem wird der Einmal-Code automatisch von der Tastatur zum Einfügen angeboten. Das ist praktisch, weil der Nutzer sich den Code so nicht merken oder erst umständlich aus der Nachrichten-App kopieren muss. Zugleich soll nur der Code an die Seite übermittelt werden und kein weiterer Inhalt aus der jeweiligen Nachricht.

Google Chrome schon an Bord

Google habe sich in Hinblick auf den Browser Chrome und den eigenen HTML-Renderer Blink bereits "positiv" zu dem Vorschlag geäußert. Eine mögliche Unterstützung durch Mozilla beziehungsweise Firefox ist derzeit als "unbekannt" deklariert.

Grundsätzliche Sicherheitsbedenken bei der Verwendung von SMS als Zustellmethode für Einmalcodes – etwa durch SIM-Swapping – werden in dem Vorschlag bewusst nicht angegangen, das sei eine eigene Diskussion und dürfe nicht gegen eine Verbesserung bestehender Systems sprechen, argumentieren WebKit-Entwickler, schließlich sei die SMS nach wie vor eine populäre und universelle Methode, mit der viele Dienste 2-Faktor-Codes zustellen. (lbe)